Защита среды частного облака
В этой статье рассматривается управления доступом на основе ролей (RBAC) для службы CloudSimple, портала CloudSimple и частного облака из Azure. Пользователи, группы и роли для доступа к серверу vCenter частного облака указываются с использованием единого входа VMware.
Azure RBAC для службы CloudSimple
Для создания службы CloudSimple требуется роль владельца или участника в подписке Azure. По умолчанию любой владелец или участник может создать службу CloudSimple и получить доступ к порталу CloudSimple для создания частных облаков и управления ими. Для каждого региона можно создать только одну службу CloudSimple. Чтобы ограничить доступ, разрешив его только определенным администраторам, выполните следующие действия:
- Создайте службу CloudSimple в новой группе ресурсов на портале Azure.
- Задайте Azure RBAC для группы ресурсов.
- Приобретите узлы и используйте ту же группу ресурсов, что и для службы CloudSimple.
Только пользователи, у которых есть разрешения владельца или участника в группе ресурсов, увидят службу CloudSimple и смогут запустить портал CloudSimple.
Общие сведения см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?.
RBAC для сервера vCenter частного облака
Пользователь по умолчанию CloudOwner@cloudsimple.local
создается в домене единого входа vCenter при создании частного облака. У пользователя CloudOwner есть разрешения на управление vCenter. Чтобы предоставить доступ другим пользователям, в службу единого входа vCenter добавляются дополнительные источники удостоверений. На сервере vCenter настроены предварительно определенные роли и группы, которые можно использовать для добавления дополнительных пользователей.
Добавление новых пользователей на сервер vCenter
- Повышение привилегий пользователя CloudOwner@cloudsimple.local в частном облаке.
- Войдите в vCenter с помощью CloudOwner@cloudsimple.local
- Добавьте пользователей единого входа vCenter.
- Добавьте пользователей в группы единого входа vCenter.
Дополнительные сведения о предопределенных ролях и группах см. в статье Модель разрешений частного облака CloudSimple для VMware vCenter.
Добавление новых источников удостоверений
Вы можете добавить дополнительные поставщики удостоверений для домена единого входа vCenter частного облака. Поставщики удостоверений обеспечивают проверку подлинности, а группы единого входа vCenter — авторизацию для пользователей.
- Использование доменных служб Active Directory в качестве поставщика удостоверений на сервере vCenter частного облака
- Использование Azure Active Directory в качестве поставщика удостоверений на сервере vCenter частного облака
- Повышение привилегий пользователя CloudOwner@cloudsimple.local в частном облаке.
- Войдите в vCenter с помощью CloudOwner@cloudsimple.local
- Добавьте пользователей из поставщика удостоверений в группы единого входа vCenter.
Защита сети в среде частного облака
Безопасность сети в среде частного облака обеспечивается путем защиты доступа к сети и контроля трафика между ресурсами.
Доступ к ресурсам частного облака
Доступ к серверу vCenter и ресурсам частного облака осуществляется через защищенное сетевое подключение.
- Подключение ExpressRoute . ExpressRoute обеспечивает безопасное подключение с высокой пропускной способностью и низкой задержкой из локальной среды. Такое подключение позволяет локальным службам, сетям и пользователям обращаться к серверу vCenter частного облака.
- VPN-шлюз типа "сеть — сеть" . VPN типа "сеть — сеть" предоставляет доступ к ресурсам частного облака из локальной среды через безопасный туннель. Вам нужно указать, какие локальные сети могут обмениваться трафиком с частным облаком.
- VPN-шлюз типа "точка — сеть" . Используйте VPN-подключение типа "точка — сеть" для быстрого удаленного доступа к серверу vCenter частного облака.
Управление трафиком в частном облаке
Управление трафиком в частном облаке осуществляется с помощью таблиц и правил брандмауэра. В таблице брандмауэра можно задать комбинацию правил для управления трафиком между исходной сетью или IP-адресом и целевой сетью или IP-адресом.
- Создайте таблицу брандмауэра.
- Добавьте правила в эту таблицу.
- Подключите таблицу брандмауэра к виртуальной локальной сети или подсети.